Bug 3423: access violation in URL parser

Avoid crashes when processing bad X509 common names (CN).

X509_REQ_get_pubkey() returns a refcounted object that we must clean after use.
X509_REQ_get_subject_name() does not; cleaning the result may cause segfaults.
How we are supposed to tell the difference is beyond me.

Bug 2910: MemBuf may grow beyond max_capacity

Bug 3412: External ACL Uses Invalid Cache Entry

Bug 3398: persistent server connection closed after PUT/DELETE

Fix assertion when dstdomain abused in access controls

This converts an assertion into a logged warning and a failed-match if
dstdomain ACLs are used in places where the HTTP request is not available.

Bug 3408: Wrong header length leads to EFAULTs when creating UFS swap.log.new

Also localized the header variable as it may be destroyed at any time.

Bug 3299: dnsserver: various undefined references

Portability: add cstdarg as source of var_arg when available

SourceFormat Enforcement

Bug 1243: Build overrides configured AR setting

Bug 3077: '\' in url query strings cause Digest authentication to fail

3.1.16

Prep for 3.1.16

SourceFormat Enforcement

Add directive dns_v4_first to make IPv4 connections before IPv6 is tried.

Default off, to prefer the faster protocol.

The use-case for this is networks which are IPv6-enabled but stuck
behind slow tunnels and whose upstream is not supporting full transit
services over IP.

Bug 3237: seq fault in free() from rfc1035RRDestroy

Bug 3190: Large HTTP POST stuck after early ICAP 400 error response

When an ICAP REQMOD service responds with an error to
(or the REQMOD transaction aborts while processing) a large HTTP
request, the HTTP request may get stuck because the request body
buffer gets full and nobody consumes the no-longer-needed content.

The ICAP code quits but leaves the body buffer intact in case the
client-side code wants to bypass the error. After that, nobody consumes
the request body because the buggy client side does not inform the body
pipe that there will be no other consumers, which would have triggered
a noteBodyConsumerAborted() callback and enable auto-consumption or closed
the client connection.

This is a Measurement Factory project

Bug 3373: invalid URL in ERR_CACHE_ACCESS_DENIED

Bug 3368: Unhandled exceptions are not logged (workaround)

Bug 3241: squid_kerb_auth cross compilation fix

When building inside Squid sources we can assume yes/HAVE_SQUID.

Docs: clarify retry_on_error situations

db_auth: display available DSN drivers on connect error

Updated OpenSSL 1.0.0 version checks.

LHASH_LHASH and PSTRING are only screwed up in 1.0.0d and later.

Remove duplicated code in gopher fix

harmless copy-paste error when patch was forward-ported from squid-2

Docs: limit internal DNS options properly

Bug 3320: miss_access description confusing

Bug 3326: miss_access incorrect default

3.1.15

Prep for 3.1.15

Remove hierarchy_stoplist default value

This should have been done long ago with the other dynamic website
handling changes. It has caused a certain amount of confusion when things
which apparently should go to peers fail to reach them.

Bug 3295: broken escaping in rfc1738_do_escape

SourceFormat Enforcement

cf_gen requires cstdlib

Prep for 3.1.15 and 3.0.STABLE26

Portability: Drop u_short type

Use uint16_t for precise binary size or unsigned short instead.

Polished unused code.

The unused dlopen() call is actually useful to enable when lt_dlopen() reports
"file not found" errors for loadable modules that do exist but that Libtool
cannot load successfully due to undefined symbols or other errors.

This inability to correctly report a library loading error is a long-standing
Libtool bug, stemming from Libtool's desire to try and load several
differently named library files until one succeeds, losing true error
information in the process.

Correct parsing of large Gopher indexes

Typo on rev.10357 port

Bug 3213: https sites (CONNECT) not open when using NTLM

Portability: use code instead of static initialization

g++ 4.4.5 on ARM mis-detects an inizializer's variable size. Give it a hint.

Fix NIS helper build on FreeBSD

Fails on clang++ and other strict compilers due to missing __cplusplus
checks in FreeBSD system headers and yp_prot.h typedefs bool unless
BOOL_DEFINED is defined.

Bug 1791: timestampsSet does not validate Date: if server sends very old date

Bug 3217: "!fd_table[fd].closing()" from ServerStateData::noteMoreBodySpaceAvailable

It is possible that the next hop connection is going through the closing steps
when we receive a "noteMoreBodySpaceAvailable" notification from the response
body consumer. Do not try to read in this case.

Bug 3107: ncsa_auth DES silently truncates passwords to 8 bytes

Bug 2662: cf_gen failure when cross compiling

Adds support for "./configure HOSTCXX=foo" to specify a host compiler
to build cf_gen with. If none is specified the normal build compiler will
be used.

Migrate cf_gen tool from C-style to C++

SourceFormat Enforcement

Portability: several issues in MinGW

Kill one goto

SourceFormat Enforcement

Fix missing brackets on revnno.10347

Bug 2655: passing wrong the username to the url_rewrite_program

Debug enhancements for rewrite helper user

Bug 3131: fd_table[fd].closing() assert from ConnStateData::noteMoreBodySpaceAvailable()

Bug 3232: fails to compile with OpenSSL v1.0.0

Correct memset size when clearing wccp assign message buffer

Fix if assignment warning

Simplify SASL config.test.

If headers are there then it's reasonable to expect libs as well being
present.

Note: not all archs places libs in /lib /usr/lib and
full searching is overkill.

ev_entry is a C++ class these days, don't attempt using it as a struct

Regression fix: vhost and defaultsite causing vport to be ignored

Instead of dropping it completely we should be sanely combining them like
Squid-2 does for most cases. This appears to have been lost while removing
the getmyHostname() from the process and reducing the
prepareTransparentUrl code.

This fix makes vport apply even if vhost was used. It will modify the
Host: header contents according to the documented vport semantics.

This fix makes vport apply even if defaultsite= was used. It will append
the specified port to the domain name given. Domains with port attached
are not supported and will produce invalid URLs.
TODO: detect this case while parsing the initial config and warn.

Regression fix: vhost and defaultsite causing vport to be ignored

Instead of dropping it completely we should be sanely combining them like
Squid-2 does for most cases. This appears to have been lost while removing
the getmyHostname() from the process and reducing the
prepareTransparentUrl code.

This fix makes vport apply even if vhost was used. It will modify the
Host: header contents according to the documented vport semantics.

This fix makes vport apply even if defaultsite= was used. It will append
the specified port to the domain name given. Domains with port attached
are not supported and will produce invalid URLs.
TODO: detect this case while parsing the initial config and warn.

Provide NULL when missing

Fix GCC4.6 warning unused variables

Enable negative cacheing on unknown or -1 expiry timestamp

This syncs the squid-3 code with what squid-2 does. There seem to be no
problems in squid-2, but squid-3 does not cache at times when it should
according to negative_ttl

Fix GCC 4.6 warning unused variables in test-suite

Bug 1842: Optimize order of tests in peerWouldBePinged() and peerHTTPOkay()

The peerAllowedToUse() function may be time consuming, especially on sites that
have lots of acls.

Bug 2051: 'default' cache_peer option does not match documentation

Move the default parent to second-lowest priority on the parent
selection. This also allows the other more delicate balancing
algorithms to work properly with a default configured.

sourcehash and userhash are reversed in priority to simplify and
speed the selection code.

Also, getAnyParent() is dropped. It is redundant with the FIRSTUP
 algorithm.

Bug 3114: Memory leak in SSL certificate verify code

Fix --disable-follow-x-forwarded-for and correct documentation

This feature is available by default. But protected by default "deny all"
to restrict security problems.

Bug 2495: ignore whitespace prefix on config lines

Allow whitespace indentation before any lines. Making SMP and comment
configuration easier to read for some.

Bug 3222: cache_peer name is not logging on CONNECT

Remove duplicate calls to IsAnyAddr in DNS

3.1.14

Bug 3261: Could not create a DNS socket

Reverts IP address ANYADDR changes due to regression.

Bug 2138: NTLM passthrough using accel cache_peer and ssl

This is a temporary workaround for 3.1 series. A better fix for 3.2 and
later is known but needs verifiction.

3.1.13

Prep for 3.1.13

Ip::Address::IsAnyAddr did not return true for IPv4-only anyaddr

Bug 3239: Rename myip/myport as localip/localport - Fix initial patch

A misstyped  if(strcmp ...) statemets has as result, all acl type in squid.conf
to be considered as "localip" acl type.

Update ssl_crtd to use 'OK' status inline with other helpers

Bug 3153: additional compile fixes

SourceFormat Enforcement

3.1.12.3

Prep for 3.1.12.3

Fix squidclient -V option and allow non-HTTP protocols to be tested

The "-" case is for old style HTTP (called 0.9) where there is no version
string. The "-V 0.9" is for testing servers with broken version number
tag "HTTP/0.9". Do not mix these up!

This also adds the ability to send non-HTTP version tags for testing.
 ie "-V ICAP/1.0" or "-V ICY/1.0"

Fix segfault in parse_eol()

Fixed bypass of SSL certificate validation errors.

The bypass code was calling ACLChecklist::fastCheck() multiple times
if multiple certificate errors were found. That method should not be
called multiple times because it changes the internal ACLChecklist
state, producing wrong answers for repeated calls.

This patch fixes the ACLChecklist::fastCheck() method so it can be called
multiple times. Each fastCheck() call results in an independent access
list check.

This is a Measurement Factory project

Bug 3153: Prevent ICAP RESPMOD transactions getting stuck with the adapted body.

Part 1.

  Server is expected to receive adapted response headers and then consume the
  adapted response body, if any. If the server receives the headers and then
  aborts, it must notify the ICAP side that nobody will consume the body.
  Otherwise, the ICAP transaction will fill the BodyPipe buffer and get stuck
  waiting for the consumer to free some space.

Part 2:

  This fix still leaves one potential race condition unhandled: The ICAP
  Initiatee disappears right after sending the adapted headers to the Server
  (because there is nothing else for that initiatee to do). After the
  noteAdaptationAnswer() call is scheduled by ICAP and before it is received by
  the Server job, there is no usable link between Server and ICAP.  There is no
  way for the Server to notify the ICAP transaction that the Server job is
  aborting during that time (and there is no Server job at all after it aborts,
  naturally).

  The solutions is to develop a custom AsyncCall which will call the
  expectNoConsumption() on the message pipe if the call cannot be dialed (i.e.,
  the message cannot be delivered to Server).

Display critical WARNING: about myip/myport on interception proxies.

Advertise myportname for use instead.

Fix RADIUS helper resource leak

cppcheck detected the config file was never closed/released. This could
prevent the helper shutting down cleanly.

Fix segfault parsing digest auth realm

Also enact a TODO about Digest::Config constructor.

Port 2.7: Add debug to url rewriter, allowing to print the full command line sent to the helper

Polish: display easily grepped config lines on -k parse

Bug 3214: "helperHandleRead: unexpected read from ssl_crtd" errors.

Squid would read the beginning of a crtd response split across multiple
read operations and treat it as a complete response, causing various
certificate-related errors.

This patch:
 - allow the use of other than the '\n' character as the end of message mark
   for helper responses.
 - Use the '\1' char as end-of-message char for crtd helper. This char looks
   safe because the crtd messages are clear text only messages.

paste error

Bug 3236: Port of %oa, %<lp and %<la log format options

Christos Tsantilas:
 Add logging of the local TCP port used by transactions with http servers

  The new log format code is "%<lp"

  In the case there are several server-side connections logs the port of
  the last connection.

  This is a Measurement Factory project.

Amos Jeffries:
 Port 2.7: logformat tag for logging the outgoing IP address (tcp_outgoing_address)

  This adds the log format to log the local IP address used on outgoing
  connections to peers and servers. Squid-2.7 called this %oa.

  However it is a perfectly matching part of the existing set of %la and
  %lp (local inbound) and %<lp (local outbound port).

  As such, the %oa is accepted as input for backward compatibility, but the
  Squid-3 version is: %<la

  This is based only very loosely on the Squid-2 %oa work by Andrew Atangulov

3.1.12.2

Fix orphan #endif

clientside_tos is a 3.2 feature